摘要:SQL注入漏洞:1.解決SQL注入漏洞的關(guān)鍵是對(duì)所有來自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格檢查、對(duì)數(shù)據(jù)庫配置使用最小權(quán)限原則2.所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口,參數(shù)化的語句使用參數(shù)而不是將用戶輸入...
1.解決SQL注入漏洞的關(guān)鍵是對(duì)所有來自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格檢查、對(duì)數(shù)據(jù)庫配置使用最小權(quán)限原則
2.所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口,參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。
3.對(duì)進(jìn)入數(shù)據(jù)庫的特殊字符('"\<>&*;等)進(jìn)行轉(zhuǎn)義處理,或編碼轉(zhuǎn)換。
4.確認(rèn)每種數(shù)據(jù)的類型,比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字,數(shù)據(jù)庫中的存儲(chǔ)字段必須對(duì)應(yīng)為int型。
5.數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定,能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。
6.網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一,建議全部使用UTF-8編碼,上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。
7.嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限,給此用戶提供僅僅能夠滿足其工作的權(quán)限,從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫的危害。
8.避免網(wǎng)站顯示SQL錯(cuò)誤信息,比如類型錯(cuò)誤、字段不匹配等,防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。
9.在網(wǎng)站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測(cè)工具進(jìn)行檢測(cè),及時(shí)修補(bǔ)這些SQL注入漏洞。
XSS跨站腳本漏洞:
1.假定所有輸入都是可疑的,必須對(duì)所有輸入中的scrIPt、iframe等字樣進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請(qǐng)求中的Cookie中的變量,HTTP請(qǐng)求頭部中的變量等。
2.不要僅僅驗(yàn)證數(shù)據(jù)的類型,還要驗(yàn)證其格式、長度、范圍和內(nèi)容。
3.不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾,關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行。
4.對(duì)輸出的數(shù)據(jù)也要檢查,數(shù)據(jù)庫里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點(diǎn)時(shí)也要進(jìn)行安全檢查。
5.在網(wǎng)站發(fā)布之前建議測(cè)試所有已知的威脅。
頁面存在源代碼泄露:
1. 配置好服務(wù)端語言解析,防止解析失敗而導(dǎo)致源碼泄露;
2. 關(guān)閉網(wǎng)站錯(cuò)誤調(diào)試機(jī)制,防止因?yàn)閳?bào)錯(cuò)而導(dǎo)致源碼泄露。
網(wǎng)站存在備份文件:刪除檢測(cè)出的備份文件,或者將這類文件從網(wǎng)站目錄下移走。
網(wǎng)站存在包含SVN信息的文件:刪除網(wǎng)站目錄下的SVN信息,不要使用SVN目錄作為網(wǎng)站的目錄。
網(wǎng)站存在Resin任意文件讀取漏洞:刪除resin_doc相關(guān)目錄與文件。
網(wǎng)站存在目錄瀏覽漏洞:關(guān)閉Web容器(如IIS/Apache等)的目錄瀏覽功能,比如:
1.IIS中關(guān)閉目錄瀏覽功能:在IIS的網(wǎng)站屬性中,勾去“目錄瀏覽”選項(xiàng),重啟IIS;
2.Apache中關(guān)閉目錄瀏覽功能:打開Apache配置文件httpd.conf,查找 “Options Indexes FollowSymLinks”,修改為“ Options -Indexes”(減號(hào)表示取消),保存退出,重啟Apache。
網(wǎng)站存在PHPINFO文件:刪除檢測(cè)出的PHPINFO文件。
網(wǎng)站存在服務(wù)器環(huán)境探針文件:刪除檢測(cè)出的探針文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。
網(wǎng)站存在日志信息文件:刪除檢測(cè)出的日志信息文件。
網(wǎng)站存在JSP示例文件:刪除JSP示例文件。
頁面上存在數(shù)據(jù)庫信息:關(guān)閉數(shù)據(jù)庫的錯(cuò)誤調(diào)試機(jī)制,防止因?yàn)镾QL語句錯(cuò)誤導(dǎo)致數(shù)據(jù)庫報(bào)錯(cuò)信息顯示到頁面上。
頁面上存在網(wǎng)站程序的調(diào)試信息:關(guān)閉網(wǎng)站程序的調(diào)試機(jī)制,這個(gè)機(jī)制經(jīng)常被用于網(wǎng)站的測(cè)試調(diào)試,該機(jī)制能顯示出很詳細(xì)的網(wǎng)站報(bào)錯(cuò)信息。
網(wǎng)站存在后臺(tái)登錄地址:
1.將后臺(tái)登錄地址隱藏,改個(gè)不容易猜到的路徑;
2.配置好后臺(tái)登錄地址的訪問權(quán)限,比如只允許某個(gè)IP或IP段的用戶訪問。
網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件:刪除檢測(cè)出的服務(wù)端統(tǒng)計(jì)信息文件。
網(wǎng)站存在敏感目錄:這些目錄經(jīng)常用于存放敏感的文件,可以考慮從網(wǎng)站目錄中分離出,或改個(gè)不易猜測(cè)到的路徑,并配置好訪問權(quán)限。
轉(zhuǎn)載請(qǐng)保留原文地址: http://onedealspecials.com/show-247.html